Notices by h12o (h12o@mastodon.tokyo)

以前

「最近はiPhoneの壁紙をiFixitの分解写真ないしスキャン写真にしているのだけど、MacBookでもこれがほしいと思っている。」

と書いたのだけど、すごく冷静に考えるとノートPCのディスプレイの「裏」には何もない——強いていえば天板しかないわけで、どうりでiFixitにそんな壁紙などないわけだと思い至って苦笑しかしていない。

https://mastodon.tokyo/@h12o/113789946252250856

h12oからの #mixi2 招待🎟️
一緒にはじめよう！🚀
https://mixi.social/invitations/@h12o/2DcKLiTgUtfJf5XM32qxMd

コーヒー買うか。

【100g3種類】焙煎度合いが選べるお楽しみセット【合計300g】を購入しました! https://thebase.in/to/item?item_id=82680413 #BASEec @nelsoncoffeeroaster から

ずんださんのひつまぶしですか。

#違う #違うそうじゃない

スパム以前の話なのですが、

よく分からないQRコードはスキャンしちゃダメよ? おじさんとの約束だ。

（スパムとは関係ないけど、この前実家の両親にも同じことを言ってきた）

https://softantenna.com/blog/xz-backdoor/ では
>>
プロジェクトに長年貢献しているJiaT75氏によって行われた変更であることは分かっていますが、意図的に行われたのか、システムの不正アクセスによって行われたのかはまだはっきりとしていません。
<<
とのことだが、『Everything I Know About the Xz Backdoor』ではJiaT75氏に疑いの目を向けているようだ。

#NowReading https://boehs.org/node/everything-i-know-about-the-xz-backdoor

@fujii_yuji 節子それ賞味期限やない、消費期限や

Mastodon v4.2.8にアップデートしたときには気づかなかったけど、v4.2.8を`development`環境で新規インストールして`db:setup`すると、`admin`のアカウントが管理者の承認待ちになってしまう（笑）。
https://github.com/mastodon/mastodon/releases/tag/v4.2.8

@zundan まずはコードーを起こせと……（おっさんは黙って

各位

プロバイダ責任制限法のQ&Aに、発信者情報開示請求についても書かれていますので、参考にしてください。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/ihoyugai_04.html#qa14

（「発信者情報開示請求」で検索すると、弁護士法人や弁護士事務所のサイトが多く引っかかりますがいわゆるSEO的「お役立ち情報」の類なので、まずはgo.jpを見ましょう）

#Mastodon が依存するRailsパッケージのひとつ、sidekiq-unique-jobsのXSS sidekiq-unique-jobs UI server vulnerability（ GHSA-cmh9-rx85-xj38 , CVE-2024-25122）等の対応でMastodon v4.2.6・v4.1.14・v4.0.14・v3.5.18がリリースされています。

今回は攻撃概念実証（PoC）も出ているので攻撃はすぐにでも始められてしまうため、急ぎアップデートが求められます。

- v4.2.6 https://github.com/mastodon/mastodon/releases/tag/v4.2.6

5月の第十回技術書同人誌博覧会と技術書典16に出す予定の同人誌

『実践的に学ぶ 安全なMastodonサーバーの作り方』

について、レビューアを若干名募集しようかと思っています。ご興味のある方はご返信ください（公開の返信でも非公開の返信でも問題ありません）。

- サークルのDiscordサーバーにある専用のチャンネルを使います。チャンネルでは内容案、目次案、執筆スケジュールを宣言しながら原稿を一区切りごとにアップしてご意見を募るようにします。
- 謝礼・献本はありませんが謝辞は記します。レビューの義務は発生しません。チャンネル内で喧嘩をすることだけはおやめください（モデレーションせざるを得なくなった場合、執筆の妨げになるためです）。
- 技術書ですがレビューアの技術理解度は問いません。

@hyoyoshikawa なるほど、AIによるまとめがあるのですね。私はこのAIによるまとめには疑問を持っています。

私は、Tenableの「Mastodon is a free, open-source social network server based on ActivityPub Mastodon allows configuration of LDAP for authentication.」と「Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account.」は意味が連続していないと考えています。また、MastodonがLDAP認証に対応していることは確かですが、GHSA-3fjr-858r-92rwにはLDAPに関する言及がありません。

リンクは今回の修正コミットなのですが、LDAPではなくActivityPubまわりの修正であるように見えるのです。
https://github.com/mastodon/mastodon/commit/1726085db5cd73dd30953da858f9887bcc90b958

@hyoyoshikawa ご確認ありがとうございます。

Tenableの文章で、ピリオドがあって然るべきところがないように見受けられる箇所があったので、そこが原因かもしれません。

@hyoyoshikawa すみませんが質問です。diffとリンク先からは「問題は、Mastodon内のLDAP認証設定において、認証リクエストの起源を適切に検証していない点にあります。」とは読み取れなかったのですが、どの辺りを訳されたか知りたいと思っています。

脆弱性の詳細は私自身把握していない（把握していたとしても公式情報以上は書かない）のですが、MastodonのLDAP連携機能に脆弱性があるのだとすると、攻撃条件が複雑になってCVSSがそこまでは上がらないのでは?と思っているとともに、大多数のサーバーは影響を受けないとも考えていて、私の頭の中で整理がついていません……

Mastodonに「リモートユーザーのなりすましと乗っ取り」ができる脆弱性だそうで、2月15日に詳細が追って通知されるため、2月14日までに対応をすることをお勧めします。

（以下はh12oによる機械翻訳ベースの翻訳）

まとめ

すべてのMastodonでオリジンの検証が不十分なため、攻撃者はあらゆるリモートアカウントになりすまして乗っ取ることができます。

3.5.17 より前のすべてのMastodonバージョンに脆弱性があるほか、4.0.13より前の4.0.xバージョン、4.1.13より前の4.1.xバージョン、4.2.5より前の4.2.xバージョンも脆弱です。

詳細

追って通知します。このアドバイザリは、管理者の更新に要する時間を考慮して、2024年2月15日により詳細な情報が追加されます。これは、多少なりとも詳細があることによって、攻撃が非常に容易になると想定されるためです。

https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw

A: セキュリティを専門されない方であることを前提とします。
ファーストステップとしては、非エンジニアであれば、国家資格では「情報セキュリティマネジメント試験」、民間資格では「個人情報保護士」、そしてその問題集があるといいと思います。
エンジニアであれば、加えて徳丸本・結城本と徳丸試験をお勧めします。
#FediQB
https://fediqb.y-zu.org/questionbox/@h12o@mastodon.tokyo

>>
修正された脆弱性の内、パスワードリセット機能における脆弱性（CVE-2023-7028）が悪用された場合、任意のユーザーアカウントのパスワードが第三者によりリセットされ、多要素認証を有効にしていない環境ではアカウントの乗っ取りに繋がる可能性があります。なお、同脆弱性の実証コード（PoC）と見られる情報が既に公開されています。

影響を受けるバージョンを利用している場合は、GitLabが提供する情報を参考に、対策や調査を実施いただくことを推奨します。脆弱性を悪用する攻撃の被害を受けた可能性があるかどうかログを調査する方法がGitLabから公開されています。
<<
https://www.jpcert.or.jp/newsflash/2024011601.html

基本的にはまず自分だけでもいいので多要素認証をとにかく有効にしたうえで、作業時間を早めにとってGithubのバージョンアップをすることかな、と思った。